Компания LastPass заявила, что один и тот же злоумышленник взломал компьютер сотрудника и украл расшифрованное хранилище паролей. Компания сообщила об инциденте безопасности в августе 2022 года, заявив, что неавторизованная сторона получила доступ к сторонней облачной службе хранения данных, которую LastPass использует для хранения архивных резервных копий. Некоторые данные клиентов были доступны, но LastPass заявила, что пароли остались в безопасности благодаря своей зашифрованной архитектуре.
Теперь, в отчете, компания заявила, что тот же злоумышленник взломал домашний компьютер сотрудника и похитил расшифрованное хранилище, доступное лишь нескольким разработчикам компании. Это хранилище давало доступ к общей облачной среде хранения, содержащей ключи шифрования для резервных копий хранилищ клиентов, хранящихся в ведрах Amazon S3.
Это было сделано путем взлома домашнего компьютера инженера DevOps и эксплуатации уязвимого пакета программного обеспечения сторонних производителей, что обеспечило возможность удаленного выполнения кода и позволило внедрить вредоносное ПО с кейлоггером. Угрожающий субъект смог перехватить мастер-пароль сотрудника в момент его ввода, после того как сотрудник прошел аутентификацию с помощью MFA, и получить доступ к корпоративному хранилищу LastPass инженера DevOps.
- пишет LastPass
Согласно отчету, опубликованному в понедельник, тактика, методы и процессы первого инцидента отличались от тех, которые использовались во втором. В результате следователи не сразу поняли, что они связаны между собой.
Хакер использовал данные первого события для эксфильтрации данных, хранившихся в облаке S3 во время второго инцидента. Amazon заметила «аномальное поведение», когда злоумышленник пытался использовать роли Cloud Identity and Access Management (IAM) для выполнения несанкционированных действий, и уведомила LastPass.
В декабре генеральный директор LastPass Карим Тубба заявил, что хакер скопировал данные из резервных копий, которые включали информацию об учетных записях клиентов и связанные с ними метаданные, в том числе названия компаний, имена конечных пользователей, адреса выставления счетов, адреса электронной почты, номера телефонов и IP-адреса.
Хакер также создал копию данных хранилища клиентов, хотя LastPass заявила, что они «хранились в собственном двоичном формате». Компания утверждает, что вероятность того, что хакеры смогут расшифровать данные, крайне мала, но предупреждает пользователей, что они могут стать мишенью для фишинговых атак или атак социальной инженерии.
В качестве меры предосторожности пользователям следует обновить свой мастер-пароль, с помощью которого они входят в хранилище, а также пароли для веб-сайтов и другие логины, несмотря на то, что LastPass утверждает, что учетные данные клиентов зашифрованы и находятся в безопасности. Кроме того, люди могут перейти на другой менеджер паролей, например, iCloud Keychain, Bitwarden или 1Password.
Безопасность LastPass
LastPass утверждал, что для расшифровки мастер-пароля пользователя потребуются миллионы лет, но конкурент считает, что это займет лишь часть этого времени и может быть выполнено всего за 100 долларов. В своем блоге главный архитектор по безопасности компании 1Password Джеффри Голдберг написал, что LastPass делает недостаточно для защиты данных клиентов.
Если рассматривать все возможные 12-символьные пароли, то существует около 2^72 вариантов. Чтобы перебрать их все, потребуются многие миллионы лет. На самом деле, это заняло бы гораздо больше времени. Но люди, которые взламывают пароли, созданные человеком, не делают этого таким образом. Они настраивают свои системы так, чтобы сначала перебирать наиболее вероятные пароли
LastPass уже подвергался критике за сомнительные процедуры безопасности. В декабре 2021 года пользователи LastPass сообщили о многочисленных попытках входа в систему с использованием правильных мастер-паролей из разных мест.
Компания заверила клиентов, что атаки были результатом утечки паролей в результате взлома третьих лиц. А в феврале 2021 года исследователь безопасности обнаружил семь трекеров в приложении LastPass для Android для аналитики приложений.
Комментарии (0)